23장. 인증 및 상호 운용성

계속 활성 항목 로깅 수준의 변경

keep alive 항목을 사용하여 건너뛰는 업데이트가 소수 부분 복제에서 여러 번 평가되지 않도록 합니다. 다수의 업데이트를 건너뛰면 이러한 항목을 자주 업데이트할 수 있습니다. 또한 각 항목은 업데이트 전에 이미 존재하는지 확인하여 고유한 항목만 생성됩니다.

이 테스트는 이전에 Fatal 수준으로 기록되어 필터링할 수 없는 불필요한 메시지로 인해 오류 로그가 채워졌습니다. 이번 업데이트에서는 기존 항목을 복제 디버깅 (8192)으로 유지하기 위해 로깅 수준을 변경하며 이제 항목을 필터링할 수 있습니다. (BZ#1314557)

cleanAllRUV 작업에서는 더 이상 false `attrlist_replace` 오류를 기록하지 않습니다.

cleanAllRUV 작업의 메모리 손상 버그로 인해 attrlist_replace 오류 메시지가 실수로 기록되었습니다. 이 작업은 메모리 복사에 다른 함수를 사용하도록 업데이트되었으며 더 이상 잘못된 오류 메시지를 로그에 기록하지 않습니다. (BZ#1288229)

연결 개체가 더 이상 교착 상태 없음

이전에는 연결 개체에서 불필요한 잠금이 획득되어 교착 상태가 발생할 수 있었습니다. 불필요한 잠금을 제거하기 위해 패치가 적용되었으며 교착 상태가 더 이상 발생하지 않습니다. (BZ#1278755)

간단한 페이징 결과 검색에 대한 요청을 포기해도 더 이상 충돌이 발생하지 않습니다.

이번 업데이트 이전에는 중단 확인이 완료되었지만 결과가 완전히 전송되기 전에 Directory Server에서 간단한 페이징 결과 검색에 대한 중단 요청을 수신할 수 있었습니다. 이 경우 결과가 전송되는 동안 중단 요청이 처리되어 Directory Server가 충돌했습니다. 이번 업데이트에서는 결과가 이미 전송되는 동안 중단 요청이 처리되지 않도록 하는 잠금이 추가되어 충돌이 발생하지 않습니다. (BZ#1278567)

간단한 페이징된 결과 검색 슬롯이 실패 후 올바르게 해제됨

이전에는 백엔드에서 간단한 페이징 결과 검색이 실패한 경우 간단한 페이징 결과 슬롯이 해제되지 않았습니다. 결과적으로 여러 개의 간단한 페이징 결과 슬롯이 연결 오브젝트에 누적될 수 있습니다. 이번 업데이트를 통해 검색이 실패할 때 간단한 페이징된 결과 슬롯이 올바르게 해제되고 사용되지 않은 간단한 페이지된 결과 슬롯은 더 이상 연결 개체에 남아 있지 않습니다. (BZ#1290242)

`DES` to `AES` password conversion must now be done manually on suffixes other than `cn=config`

Directory Server가 시작되면 DES(Data Encryption Standard) 알고리즘으로 암호화된 모든 현재 암호는 보다 안전한 AES(Advanced Encryption Standard) 알고리즘을 사용하도록 자동으로 변환됩니다. DES-암호화 암호는 내부 인덱싱되지 않은 검색을 사용하여 이전에 감지되었으며, 이로 인해 매우 큰 사용자 데이터베이스에 대해 너무 느렸습니다. 이로 인해 시작 프로세스가 시간 초과되어 Directory Server가 시작되지 않습니다. 이번 업데이트를 통해 구성 접미사 cn=config 만 확인되고 DES 암호를 확인하고 새 slapi 작업 des2aes 를 사용할 수 있습니다. 이 작업은 서버를 시작하여 필요한 경우 특정 데이터베이스에서 AES 로 암호를 변환할 수 있습니다. 따라서 사용자 데이터베이스 크기에 관계없이 서버가 시작됩니다. (BZ#1342609)

백엔드 데이터베이스를 삭제해도 더 이상 교착 상태가 발생하지 않음

이전에는 트랜잭션 정보가 백엔드 삭제 중에 데이터베이스 도우미 기능 중 하나로 전달되지 않았습니다. 결과적으로 플러그인이 트랜잭션에 의해 잠긴 영역의 데이터에 액세스하려고 하면 교착 상태가 발생했습니다. 이번 업데이트를 통해 트랜잭션 정보가 모든 필요한 데이터베이스 도우미 함수에 전달되고 교착 상태가 더 이상 발생하지 않습니다. (BZ#1273555)

동일한 LDAP 속성을 삭제하고 추가하면 같음 인덱스가 올바르게 업데이트됩니다.

이전 버전에서는 ldapmodify 명령을 사용하여 동일한 LDAP 속성의 여러 값이 삭제된 경우 동일한 작업 중에 하나 이상의 값이 다시 추가되면 같음 인덱스가 업데이트되지 않았습니다. 그 결과 다시 추가된 특성 값에 대한 정확한 검색에서 해당 항목을 반환하지 않았습니다. 항목에 있는 값 중 하나 이상이 변경되면 인덱스 코드의 논리가 수정되었으며 다시 추가된 특성 값을 정확히 검색할 때 올바른 항목이 반환됩니다. (BZ#1290600)

간단한 페이징 결과에서 요청을 취소하면 더 이상 교착 상태가 발생하지 않습니다.

이전에 간단한 페이징 결과에서 요청을 중단하는 것과 관련된 버그 수정의 일부로 전용 연결 잠금이 추가되었습니다. 그러나 특정 상황에서는 이 새로운 잠금으로 인해 자체 문제가 발생합니다. 이번 업데이트에서는 잠금을 다시 사용할 수 있으며 간단한 페이지된 결과 검색 중에 자체 문제가 더 이상 발생하지 않습니다. (BZ#1295947)

간단한 페이징 결과 검색에서 더 이상 실제 결과 대신 `0` 을 반환하지 않음

이전에는 SIZELIMIT_EXCEEDED 와 같은 오류로 인해 간단한 페이징 결과 슬롯이 삭제되면 삭제된 슬롯이 제대로 정리되지 않았습니다. 이 슬롯을 재사용하는 후속 검색은 항상 0 을 반환합니다. 이번 업데이트를 통해 삭제된 간단한 페이징 결과 슬롯이 올바르게 정리되고 검색은 재사용된 슬롯에서도 올바른 결과를 반환합니다. (BZ#1331343)

`pblock` 오브젝트가 누락되어 ACL 플러그인이 더 이상 충돌하지 않음

충분한 권한 없이 바인딩 사용자가 영구 검색(psearch)을 시작하면 캐시의 액세스 권한 오브젝트가 초기 pblock 구조를 영구적으로 가리키도록 재설정하지 못했습니다. 그 결과 ACL(액세스 제어 목록) 플러그인에서 pblock 오브젝트가 누락되어 서버가 충돌할 수 있었습니다. 이번 업데이트를 통해 초기 오브젝트가 영구 구조로 재설정되고 이 상황에서 Directory Server가 더 이상 충돌하지 않습니다. (BZ#1302823)

복제 변경 로그에서 더 이상 업데이트를 잘못 건너뛰지 않음

changelog gRPC 버퍼의 버그로 인해 버퍼를 다시 로드할 때 잘못된 위치를 가리켰습니다. 이로 인해 복제가 변경 로그의 일부를 건너뛰고 이로 인해 일부 변경 사항이 복제되지 않았습니다. 이 버그는 수정되었으며 잘못 다시 로드된 변경 로그 버퍼로 인해 복제 데이터 손실이 더 이상 발생하지 않습니다. (BZ#1321124)

이전 스키마 스타일은 이제 작은 따옴표와 함께 올바르게 사용될 수 있습니다.

버전 1.3.2부터 389-ds-base 패키지는 RFC 4512에 설명된 스키마 정의를 준수하므로 이전 버전에서 스키마를 사용할 수 없습니다. 이전 버전에서 쉽게 마이그레이션할 수 있도록 nsslapd-enquote-sup-oc 매개변수가 도입되었습니다. 그러나 이 매개 변수의 구현에는 다음과 같이 이전 스키마 스타일을 작은 따옴표로 처리할 수 없는 버그가 있었습니다.

SYNTAX oid

이 버그는 수정되었으며 이전 스키마 스타일과 함께 작은 따옴표를 사용할 수 있습니다.

또한 이번 업데이트에서는 스키마 디렉터리의 이전 스타일 스키마를 지원하는 LDAP_SCHEMA_ALLOW_QUOTES 환경 변수가 도입되었습니다. 이 기능을 활성화하려면 /etc/sysconfig/dirsrv-INSTANCE 구성 파일에서 다음 변수를 설정합니다.

LDAP_SCHEMA_ALLOW_QUOTED=on

(BZ#1303641)

이제 `DES` 에서 `AES` 로 암호 변환이 제대로 작동합니다.

Red Hat Enterprise Linux 7.1에서 7.2로 업그레이드하는 동안 Reversible Password Plug-in 에서 사용하는 암호화 알고리즘이 DES 에서 AES 로 변경되었습니다. Directory Server는 업그레이드 시 모든 암호를 새 알고리즘으로 자동 변환했습니다. 그러나 정의된 백엔드에 top 항목이 누락된 경우 암호 변환이 오류 32 로 실패했습니다. 또한 변환에 실패한 경우에도 389-ds-base 에서 DES 플러그인을 비활성화하여 기존 암호를 디코딩하지 못했습니다.

이 버그가 수정되었으며 이제 389-ds-base 에서 변환할 암호를 검색할 때 오류를 무시하므로 DES 플러그인은 모든 암호가 AES 로 성공적으로 변환된 후에만 비활성화됩니다. (BZ#1320715)

keep-alive 항목이 더 이상 복제를 중단하지 않음

이전 버전에서는 복제 중에 저장 저장 항목이 너무 많은 기회에 생성되어 복제본 변경 로그에 항목을 추가할 때 경쟁 조건이 발생하여 복제에서 작업이 중단될 수 있었습니다. 이번 업데이트를 통해 불필요한 keep-alive entry creation이 제거되었으며, 복제 중에 keep-alive 항목이 더 이상 누락된 작업을 유발하지 않습니다. (BZ#1307151)

실패한 복제 업데이트가 다음 세션에서 올바르게 다시 시도됨

소비자 측에서 복제본 업데이트가 실패하고 다른 업데이트가 성공한 경우 소비자의 복제 상태가 성공한 업데이트로 업데이트되어 소비자가 최신 상태인 것처럼 보입니다. 결과적으로 실패한 업데이트가 다시 시도되지 않아 데이터가 손실됩니다. 이번 업데이트를 통해 복제 오류가 연결을 닫고 복제 세션을 중지합니다. 이로 인해 추가 업데이트로 인해 소비자의 복제 상태가 변경되지 않으며 공급 업체가 다음 세션에서 실패한 작업을 재시도하여 데이터 손실을 방지할 수 있습니다. (BZ#1310848)

`LICENSE` 파일에 올바른 라이센스 정보가 표시됩니다.

이전에는 rpm -qi 389-ds-base 명령 출력에 잘못된 라이센스 필드인 GPLv2에 예외가 발생했습니다. 이 문제는 해결되었으며 389-ds-base 패키지는 이제 LICENSE 파일에서 올바른 라이센스 정보( GPLv3+ 라이센스)를 제공합니다. (BZ#1315893)

관리자에 의해 재설정되는 암호는 이제 암호 기록으로 저장됩니다.

관리자가 사용자 암호를 재설정한 경우 이전 암호는 이전에 사용자 암호 기록에 저장되지 않았습니다. 이를 통해 사용자는 재설정 후 동일한 암호를 재사용할 수 있었습니다. 이번 업데이트를 통해 관리자가 수동으로 재설정하는 암호는 암호 기록에 저장되고 사용자는 다른 암호를 사용해야 합니다. (BZ#1332709)

여러 플러그인에서 거부한 항목이 더 이상 검색에 표시되지 않음

이전 버전에서는 여러 백엔드 트랜잭션 플러그인(예: 자동 멤버십 또는 Managed Entry)에 의해 항목이 동시에 거부되면 항목 캐시가 일관되지 않은 상태로 남아 있었습니다. 이로 인해 추가되지 않은 경우에도 검색이 항목을 반환할 수 있었습니다. 이번 업데이트를 통해 추가 작업이 실패할 때 항목의 Distinguished Name(DN)을 저장하는 항목 캐시가 올바르게 정리되고 거부된 항목은 더 이상 ldapsearch 에서 반환하지 않습니다. (BZ#1304682)

옵션 없이 `db2index` 를 실행해도 더 이상 복제 오류가 발생하지 않음

옵션 없이 db2index 스크립트를 실행할 때 이러한 항목에 상위 항목이 없기 때문에 스크립트가 디스크상 레플리카 업데이트 벡터(RUV) 항목을 처리하지 못했습니다. 기존 RUV를 건너뛰고 대신 새 RUV가 생성되었습니다. 이로 인해 ID 불일치로 인해 다음 복제가 실패했습니다. 이번 업데이트에서는 db2index 의 RUV 항목 처리를 수정하고 이 스크립트를 실행하면 더 이상 옵션을 지정하지 않으면 복제 오류가 발생하지 않습니다. (BZ#1340307)

사용 중인 데이터베이스를 제거하려고 할 때 Directory Server가 더 이상 충돌하지 않음

이전 버전에서는 가져오기가 진행 중인 동안 콘솔을 사용하여 백엔드 데이터베이스를 제거하려고 하면 Directory Server가 충돌했습니다. 이번 업데이트를 통해 제거 스크립트는 먼저 백엔드가 사용 중인지 확인하고 제거할 수 있는 안전한 경우에만 진행합니다. 따라서 이 경우 더 이상 Directory Server가 충돌하지 않습니다. (BZ#1355760)

중복 ID 오류로 인해 소비자 승격이 더 이상 실패하지 않음

이전 버전에서는 소비자 인스턴스가 마스터로 승격되었을 때 복제본 업데이트 벡터(RUV)의 끝에 새 요소가 추가되었습니다. 그러나 새로 승격된 마스터에서 복제를 시도할 때 원격에서 마지막 항목이 아닌 RUV의 첫 번째 요소를 확인했기 때문에 중복 ID로 인해 복제 세션을 중단했습니다. 이번 업데이트를 통해 복제본을 마스터로 승격할 때 RUV가 다시 정렬되고 이전에 복제본이었던 마스터에서 복제가 더 이상 실패하지 않습니다. (BZ#1278987)

`nsslapd` 가 작업 디렉터리를 올바르게 설정

이전 버그 수정에 발생한 회귀 문제로 인해 nsslapd 가 systemd 에 의해 시작될 때 기본적으로 작업 디렉터리( nsslapd-workingdir 속성) 설정을 건너뛰었습니다. 이 버그는 수정되었으며 작업 디렉터리는 시작 중에 다시 설정됩니다. (BZ#1360447)

IdM 업그레이드 스크립트가 성공적으로 실행됩니다.

이전에는 IdM(Identity Management) 서버 업그레이드 스크립트에서 버전 변경을 감지하지 못했습니다. 그 결과 IdM 서버 업그레이드에 실패했습니다. 이 버그가 수정되었으며 이제 업그레이드가 성공적으로 수행됩니다. (BZ#1290142)

`libkadm5*` 라이브러리가 libkadm5 패키지로 이동

Red Hat Enterprise Linux 7.3에서는 libkadm5* 라이브러리가 krb5-libs 에서 새 libkadm5 패키지로 이동되었습니다. 결과적으로 yum 은 krb5-libs 패키지를 자동으로 다운그레이드할 수 없습니다. 다운그레이드하기 전에 libkadm5 패키지를 수동으로 제거합니다.

# rpm -e --nodeps libkadm5

패키지를 수동으로 제거한 후 yum downgrade 명령을 사용하여 krb5-libs 패키지를 이전 버전으로 다운그레이드합니다. (BZ#1347403)

Single Sign-On은 여러 AD 포리스트 루트 도메인이 있는 신뢰에서 올바르게 작동합니다.

이전에는 IdM(Identity Management)이 서로 신뢰하는 두 개의 다른 AD(Active Directory) 포리스트에 대한 신뢰를 설정하고 IdM이 해당 도메인의 DNS 하위 도메인에 설정된 경우 다른 AD 포리스트에서 IdM과 AD 간의 이름 접미사 라우팅 충돌이 보고되었습니다. 그 결과 이름 라우팅 충돌을 확인한 IdM과 AD 포리스트 간에 SSO(Single Sign-On)가 실패했습니다. 이제 프로세스에서 신뢰를 설정할 때 이러한 충돌을 감지합니다. 신뢰를 설정하는 동안 AD 관리자 자격 증명을 제공하면 이름 접미사 라우팅 충돌을 해결하기 위해 제외 항목이 자동으로 생성됩니다. 따라서 IdM이 AD 포리스트의 DNS 하위 도메인에 배포된 경우 Single Sign-On이 예상대로 작동합니다. (BZ#1348560)

Red Hat Enterprise Linux 7.2에서 7.3으로 업그레이드해도 특정 멀티lib SSSD 패키지로 인해 더 이상 실패하지 않습니다.

SSSD(System Security Services Daemon)의 일부로 제공되는 sssd-common 및 sssd-krb5-common 패키지는 더 이상 여러 아키텍처를 지원하지 않습니다. 이전에는 패키지를 32비트 및 64비트 버전으로 모두 설치할 때 Red Hat Enterprise Linux 7.2에서 7.3으로 업그레이드할 수 없었습니다. 이 문제를 해결하기 위해 32비트 버전의 sssd-common 및 sssd-krb5-common 가 Red Hat Enterprise Linux 7.3에서 제거되었습니다. 이렇게 하면 업그레이드가 성공합니다. (BZ#1360188)

OpenLDAP가 NSS 설정을 올바르게 설정

이전에는 OpenLDAP 서버에서 NSS(네트워크 보안 설정) 코드를 잘못 처리하는 방법을 사용했습니다. 그 결과 설정이 적용되지 않아 olcTLSProtocolMin 과 같은 특정 NSS 옵션이 제대로 작동하지 않았습니다. 이번 업데이트에서는 버그가 해결되어 영향을 받는 NSS 옵션이 예상대로 작동합니다. (BZ#1249093)

스마트 카드로 Kerberos를 사용할 때 sudo 명령이 올바르게 작동합니다.

이전에는 fork 작업 중에 ScanSetting_krb5 모듈이 많은 파일 설명자에 닫힙니다. 그 결과 /etc/passwd 파일의 처음 4096자 내에서 암호 항목을 찾을 수 없는 경우 Kerberos 및 스마트 카드를 사용하여 사용자를 인증하는 sudo 명령이 실패했습니다. 이 버그가 수정되어 nsswitch와 같은 라이브러리에서 파일 설명자를 사용할 수 있으며 sudo 가 올바르게 작동합니다. (BZ#1263745)

CSR의 PKCS#10 확장에 대한 인증서 시스템 복원 지원

이전에는 외부 서명된 인증서를 사용하여 인증서 시스템 설치 중에 생성된 CSR(인증서 서명 요청)에 일부 외부 CA(인증 기관)에 필요한 PKCS#10 확장이 포함되지 않았습니다. 이번 업데이트를 통해 이제 인증서 시스템에서 기본 제약 조건 및 키 사용 확장, 선택적 사용자 정의 확장 기능을 포함하여 기본 확장으로 CSR을 생성합니다. (BZ#1329365)

IPv6 전용 설치에서 IdM CA 서비스가 올바르게 시작됩니다.

이전 버전에서는 IPv6용으로만 구성된 시스템에서 pki-tomcat 서비스가 IdM(Identity Management) 설치 중에 IPv4 루프백 장치에 잘못 바인딩되었습니다. 그 결과 CA(인증 기관) 서비스를 시작하지 못했습니다. IdM 설정은 IPv6 프로토콜만 구성된 시스템에서 IPv6 루프백 장치에 바인딩됩니다. 결과적으로 CA 서비스가 올바르게 시작됩니다. (BZ#1082663)

pki 명령으로 해지 세부 정보 표시

이번 업데이트를 통해 이제 pki 하위 명령 cert-show 및 cert-find 에 다음과 같은 해지된 인증서에 대한 정보가 표시됩니다.

취소일
(BZ#1224382)에서 취소

ipa-replica-install --setup-dns 가 DNS에 이미 존재하는 DNS 이름의 DNS 영역을 생성하지 않습니다.

이전 버전에서는 --setup-dns 옵션을 ipa-replica-install 유틸리티와 함께 사용하면 이러한 DNS 영역이 다른 DNS 서버에 이미 존재하는 경우에도 IdM 서버의 기본 IdM(Identity Management) 도메인 이름과 동일한 DNS 영역을 생성할 수 있었습니다. 이로 인해 여러 DNS 서버가 도메인에 대해 권한 있는 서버로 잘못 작동하는 경우 클라이언트 측에서 특정 문제가 발생했습니다. 이 문제를 해결하기 위해 IdM은 다른 DNS 서버에 이미 존재하는 경우 DNS 영역을 생성하지 않습니다. IdM 설치 프로그램에서 충돌을 올바르게 감지하여 이 상황에서 설치에 실패합니다. (BZ#1343142)

이제 idmap_hash 모듈이 다른 모듈과 함께 사용할 때 올바르게 작동합니다.

이전에는 다른 모듈과 함께 사용할 때 idmap_hash 모듈이 잘못 작동했습니다. 그 결과 사용자 및 그룹 ID가 제대로 매핑되지 않았습니다. 이미 구성된 모듈을 건너뛰는 데 패치가 적용되었습니다. 이제 hash 모듈을 기본 idmap 구성 백엔드로 사용할 수 있으며 ID가 올바르게 확인됩니다. (BZ#1316899)

CA에서 netHSM에 대한 연결이 끊어지면 CRL에서 더 적은 메시지 생성

이전 버전에서는 CA가 Thales netHSM에 대한 연결이 끊어지면 CRL 생성이 CRL 생성 중 HSM 또는 LDAP와 같은 종속 구성 요소의 사용할 수 없기 때문에 루프에 들어갈 수 있었습니다. 결과적으로 프로세스에서 CA를 재시작할 때까지 많은 양의 디버그 로그 메시지를 생성했습니다. 이번 업데이트에서는 루프가 느려지는 수정 사항을 제공하여 설명된 시나리오에서 생성되는 디버그 메시지의 양을 크게 줄입니다. (BZ#1308772)

KRA는 Gemalto Safenet LunaSA (HSM)와 함께 설치할 때 더 이상 키를 복구하지 않습니다.

이전에는 Gemalto Safenet LunaSA 하드웨어 보안 모듈(HSM)에 설치된 경우 Red Hat Certificate System KRA(Key recovery authority) 하위 시스템이 키를 복구하지 못했습니다. HSM이 비FIPS 모드로 설정된 경우 패치가 적용되어 복구가 예상대로 작동합니다. (BZ#1331596)

더 낮고 안정적인 Directory Server 프로세스 크기

이전에는 Directory Server에서 glibc 라이브러리에 제공된 기본 메모리 할당자를 사용했습니다. 이 할당기는 Directory Server의 malloc() 및 free() 패턴을 처리할 수 있을 만큼 효율적이지 않았습니다. 그 결과 Directory 서버의 메모리 사용량이 매우 높기 때문에 OOM(Out of Memory) Killer가 ns-slapd 프로세스를 종료할 수 있었습니다. 이번 업데이트를 통해 Directory Server는 tcmalloc 메모리 할당자를 사용합니다. 그 결과 Directory Server의 프로세스 크기가 상당히 낮고 안정적입니다. (BZ#1186512)

이제 `pin.txt` 파일을 찾을 수 없는 경우 NS `-slapd` 가 핀을 올바르게 묻는 메시지를 표시합니다.

이전 릴리스에서는 systemd 가 표준 입력과 출력을 캡처하므로 pin.txt 파일을 찾을 수 없는 경우 389-ds-base 에서 고정을 요청하는 프롬프트가 표시되지 않았습니다. 389-ds-base 를 사용하려는 경우 가 사용하려고 했습니다. 이번 업데이트를 통해 389-ds-base 는 시작 중에 시스템에서 systemd 가 실행 중인지 여부를 감지하고 필요한 경우 올바른 systemd API를 사용하여 암호 프롬프트를 표시합니다. 따라서 Directory Server는 pin.txt 파일 없이 시작할 수 있으므로 관리자가 시스템에서 nssdb 암호를 분리할 수 있습니다. (BZ#1316580)

복제 계약 업데이트 상태에 복제 계약 실패에 대한 세부 정보

이전에 복제 계약 업데이트 상태가 오류가 발생한 후 일반 메시지만 표시하여 복제 계약 문제 해결이 어려웠습니다. 이제 업데이트 상태에 자세한 오류 메시지가 포함됩니다. 결과적으로 모든 복제 계약 업데이트 오류가 정확하고 정확하게 기록됩니다. (BZ#1370300)

IdM에서 더 큰 기본 잠금 테이블 크기 값 사용

이전에는 IdM(Identity Management) 데이터베이스의 잠금 수가 낮았습니다. 결과적으로 많은 수의 그룹 멤버십 속성을 업데이트하지 못할 수 있었습니다. 이 문제를 해결하기 위해 기본 잠금 테이블 크기가 10,000에서 100000 으로 증가했습니다. 결과적으로 다수의 그룹 멤버십 속성을 업데이트해도 더 이상 실패하지 않습니다. (BZ#1196958)

ipa-server-certinstall 명령이 더 이상 외부 서명된 인증서를 설치하지 못했습니다.

이전에는 ipa-server-certinstall 명령을 사용하여 외부 서명된 인증서를 설치합니다.

이전 인증서는 인증서 시스템에서 추적되지 않았습니다.
인증서 시스템에서 새 외부 인증서를 추적했습니다.
NSS 데이터베이스에 있는 첫 번째 인증서가 사용되었습니다.

그 결과 외부 인증 기관(CA)에 의해 서명되어 서비스를 시작할 수 없는 경우 ipa-server-certinstall 명령이 LDAP 및 웹 서버에 대한 새 인증서를 설치하지 못했습니다. 명령이 수정되었으며 이제 IdM(Identity Management) CA에서 발행한 인증서만 추적합니다. 결과적으로 새 인증서가 올바르게 설치되고 설명된 시나리오에서 LDAP 및 웹 서버를 시작할 수 없습니다. (BZ#1294503)

`default_domain_suffix` 가 설정되거나 정규화된 이름을 포함하는 경우 `sudo` 규칙이 올바르게 작동합니다.

이전에는 sudo 유틸리티에서 다음과 같은 상황에서 sudo 규칙을 올바르게 평가하지 못했습니다.

/etc/sssd/sssd.conf 파일에서 default_domain_suffix 옵션이 사용된 경우
sudo 규칙에서 정규화된 사용자 이름을 사용한 경우

그 결과 sudo 규칙이 작동하지 않았습니다. 이번 업데이트를 통해 SSSD(System Security Services Daemon)는 sudo 규칙을 수정하여 설명된 상황에서 sudo 를 올바르게 평가합니다. (BZ#1300663)

프록시 설정이 SSSD 기본 설정 파일에서 제거되었습니다.

이전에는 SSSD(System Security Services Daemon) /usr/lib64/sssd/conf/sssd.conf 기본 설정 파일을 사용하여 모든 요청을 /etc/ passwd 및 /etc /groups 파일에 프록시했습니다. 이 프록시 구성은 realmd 또는 ipa-client-install 과 같은 다른 유틸리티와 통합하지 못했습니다. 비호환성을 해결하기 위해 [domain/shadowutils] 프록시 구성이 제거되어 이제 SSSD가 올바르게 작동합니다. (BZ#1369118)

sss_override 유틸리티의 show, find 및 export 작업이 올바르게 작동합니다.

Red Hat Enterprise Linux 7.3은 SSSD(System Security Services Daemon)에 대한 로컬 재정의를 도입했습니다. 회귀 문제로 인해 -n 옵션 없이 덮어쓰기를 생성한 경우 sss_override 명령이 실패했습니다. 버그가 수정되었으며 이제 sss_override 가 올바르게 작동합니다. (BZ#1373420)

IdM에 홈 디렉터리가 없는 경우 IPA 명령이 더 이상 실패하지 않습니다.

이전 버전에서는 IdM(Identity Management)이 홈 디렉터리의 ~/.cache/ipa 에 캐시 디렉터리를 생성할 수 없는 경우 모든 ipa 명령이 실패했습니다. 이 상황은 예를 들어 사용자에게 홈 디렉터리가 없는 경우입니다. 이번 업데이트를 통해 캐시를 생성하거나 액세스할 수 없는 경우에도 IdM이 계속 작동할 수 있습니다. 이러한 상황에서는 모든 메타데이터를 반복적으로 다운로드해야 하므로 ipa 명령을 완료하는 데 시간이 오래 걸릴 수 있습니다. (BZ#1364113)

IdM 명령줄 인터페이스에 대한 도움말을 표시하는 데 더 이상 시간이 오래 걸리지 않습니다.

사용자가 --help 옵션을 사용하여 ipa 유틸리티를 실행하는 경우 ipa 는 플러그인 및 명령에서 필요한 정보를 수집합니다. 이전에는 플러그인 및 명령이 Python 모듈이었습니다. 이 릴리스에서 는 서버에서 다운로드한 스키마를 기반으로 플러그인 및 명령을 생성합니다.

이로 인해 특히 도움말에 주제 및 명령의 목록이 포함된 경우 이전 버전의 IdM(Identity Management)보다 도움이 다소 오래 걸리는 경우가 있었습니다. 이 버그가 수정되어 --help 를 사용하여 ipa 를 실행하는 데 필요한 시간을 줄일 수 있습니다. (BZ#1356146)

이전 버전의 IdM이 있는 서버에서 명령을 실행하는 데 더 이상 시간이 오래 걸리지 않습니다.

IdM 버전 4.4를 실행하는 IdM(Identity Management) 클라이언트의 사용자가 명령을 실행하는 경우 IdM은 클라이언트가 연결하는 서버가 새 명령 스키마를 지원하는지 확인합니다. 이 정보는 캐시되지 않기 때문에 클라이언트가 서버에 연결할 때마다 검사가 수행되었으며 이전에는 이전 버전의 IdM을 실행하는 서버에서 명령을 호출하는 데 필요한 시간이 길어졌습니다. 사용자가 IdM 4.4에 도입된 새 명령을 실행한 경우 서버가 명령을 인식하지 못했기 때문에 작업이 완료되지 않는 것처럼 보이는 경우가 있습니다. 이 버그가 수정되었으며 설명된 상황에서 IdM 명령을 실행하는 데 더 이상 시간이 오래 걸리지 않습니다. (BZ#1357488)

신뢰할 수 있는 AD 포리스트의 트리 루트 도메인은 이제 포리스트 루트를 통해 연결할 수 있는 것으로 표시됩니다.

Active Directory(AD) 포리스트에 트리 루트 도메인(별도 DNS 도메인)이 포함된 경우 IdM(Identity Management)이 트리 루트 도메인의 도메인 컨트롤러로 인증 요청을 올바르게 라우팅하지 못하는 경우가 있습니다. 결과적으로 트리 루트 도메인의 사용자가 IdM에서 호스팅되는 서비스에 대해 인증하지 못했습니다. 이번 업데이트에서는 버그가 수정되었으며 트리 루트 도메인의 사용자는 이 상황에서 예상대로 인증할 수 있습니다. (BZ#1318169)

IdM 웹 UI는 하위 CA에서 발급한 인증서를 예상대로 표시합니다.

CA(인증 기관)에서 발급한 인증서를 표시하기 위해 IdM 웹 UI는 ipa cert-find 명령을 사용하여 CA 이름을 쿼리한 다음 ipa cert-show 명령을 사용합니다. 이전에는 ipa cert-show 에서 CA 이름을 사용하지 않았습니다. 이로 인해 하위 CA에서 발행한 인증서의 세부 정보 페이지가 웹 UI에 오류로 인해 실패했습니다. 이 버그가 수정되었으며 웹 UI에 인증서의 세부 정보 페이지가 예상대로 표시됩니다. (BZ#1368424)

`certmonger` 는 더 이상 IdM 하위 CA에서 인증서를 요청하지 않습니다.

certmonger 서비스는 이전에 잘못된 API 호출을 사용하여 IdM 하위 인증서 기관(sub-CA)에서 인증서를 요청합니다. 그 결과 하위 CA 설정이 무시되고 인증서가 항상 IdM 루트 CA에서 발행되었습니다. 이번 업데이트에서는 버그가 수정되어 certmonger 에서 예상대로 IdM 하위 CA의 인증서를 요청합니다. (BZ#1367683)

사용자 지정 키를 사용하여 IdM OTP 토큰을 추가하는 작업은 예상대로 작동합니다.

사용자가 새로운 OTP(한 번 암호) 토큰을 추가하기 위해 --key 옵션과 함께 ipa otptoken-add 명령을 실행하면 ID 관리(IdM) 명령줄이 사용자가 제공한 토큰 키를 잘못 변환했습니다. 결과적으로 IdM에서 생성된 OTP 토큰이 유효하지 않았으며 OTP 토큰을 사용하여 인증하지 못했습니다. 이번 업데이트에서는 버그가 수정되었으며 이 상황에서 생성된 OTP 토큰이 유효합니다. (BZ#1368981)

EE 페이지를 사용하여 웹 브라우저로 관리자 인증서를 가져올 수 있습니다.

이전에는 EnrollSuccess.template을 사용하여 인증서 시스템 관리자 인증서를 웹 브라우저로 가져올 때 다음 오류와 함께 실패했습니다.

Error encountered while rendering a response.

이번 업데이트를 통해 다음 단계에 따라 인증서를 가져올 수 있습니다.

1. pki-tomcatd 서비스를 중지합니다.

systemctl stop pki-tomcatd@pki-tomcat.service

2. 다음을 포함하도록 /etc/pki/pki-tomcat/ca/CS.cfg 파일을 편집합니다.

ca.Policy.enable=true
 cmsgateway.enableAdminEnroll=true

3. pki-tomcatd 서비스를 시작합니다.

systemctl start pki-tomcatd@pki-tomcat.service

4. 새 Firefox 프로필을 만듭니다.

5. End Entity (EE) 페이지로 이동하여 Retrieval 탭을 선택합니다.

6. CA 인증서를 가져와서 신뢰할 수 있는 인증서로 구성합니다.

7. 새 Firefox 프로필에서 https://pki.example.com:8443/ca/admin/ca/adminEnroll.html 로 이동하여 양식을 작성합니다.

8. 새 관리자 인증서 소스가 생성됩니다. 새 Firefox 프로필로 가져옵니다.

인증서가 성공했는지 확인하려면 이를 사용하여 에이전트 페이지로 이동합니다. (BZ#1274419)